网络执法官使用说明.pdf

如何防止网络arp欺骗病毒或类似的恶意软件

作者：长角牛出处：斑马资讯更新时间：2007-10-16责任编辑：王健

【斑马资讯教程】打开“主机保护”对话框（在软件启动时或通过主菜单“设置/主机保

护”）。

一、将受保护主机的IP及MAC填入表中，一般受保护主机为网关等网络中的重要服务

器（即通常arp欺骗所要冒充的目标）；二、选中“启用主机保护”；三、注册用户，可

以选中“自动封锁arp”欺骗，建议将两种封锁方式都选上；四、在对话框右上角设定“保

护强度”，最高强度为16，强度越大，所发出的数据包就越多。

工作机制：当网络中有arp欺骗时，会向其它机器发出伪信息以冒充网关等重要服务器

（一般病毒发向每台机器或大量机器，主动运行的恶意程序则选择一定的机器来发送），

启用本软件的“主机保护”后，会定时向网络中的每个用户发出关于受保护主机的补偿信

息，使用户识别出真正的主机。但是，据实验，有的恶意程序发包速度相当高，如果本

软件跟随着也发出大量补偿数据包，势必会增大网络流量（虽然数据包很小），因此需

要同时使用“自动封锁arp欺骗”。

如果没有对本软件所在的机器施行arp欺骗，本软件是无法发现网络中存在arp欺骗的。

本软件对arp欺骗的判定采用如下机制：检测到某机器的IP和MAC后，在管理员设定

的受保护主机表中，查找该IP，如果找到该IP而且该IP对应的MAC与该机器的MAC

不同，则认为该机器正在施行arp欺骗。

选中“自动封锁arp欺骗”后，软件即可对这样的机器自动进行管理，管理方式分为“IP

冲突”及“断开所有主机”，建议将两种方式都选上。

网络执法官软件使用名词解释

作者：长角牛出处：斑马资讯更新时间：2007-10-16责任编辑：王健

【斑马资讯教程】主机——在本软件及本说明中，主机指所有带有IP、能够被本软

件检测到的计算机、交换机、路由器、网络打印机等网络设备。

关键主机——由管理员指定，一般为网关或代理服务器、数据服务器、WEB服务器

等。管理员将指定的IP存入“关键主机”后，可令非法用户仅断开与关键主机的连接而

不断开与其它主机的连接，一般用于保护网络中的服务器或令用户仅与外网隔离。

关键主机组——系统可设置8组关键主机，可指定某一用户与某一组关键主机断开，

而与它机器的连接不受影响。不同的关键主机组中的主机互不影响，可重复设置。

友邻用户——为叙述方便，同一局域网中，其他也在运行本软件的用户称为“友邻用

户”。友邻用户在“用户列表”中会加上桔红色头像以与普通用户区别。对管理员而言，

应当避免网络中存在其他友邻用户。同时，为防非法用户利用本软件攻击管理员，对

友邻用户的各种管理都无效，仅有企业注册版可管理友邻用户。注意，由于工作原理

上的原因，本软件对某些小路由器、网络打印机、带网络管理功能的UPS等，会误报

为“友邻用户”，对公开试用版，可能会造成软件“竞争失败”，对企业试用版或注册版

等没有影响。

锁定——管理员可快速指定某些用户暂时断开与关键主机或全部主机的连接，称之

为“锁定”。可以双击“用户列表”中某用户的“锁”列或在右键菜单的“锁定/解锁”项中改

变该用户的锁定状态。此项功能一般用于学校机房或网吧。“锁定”的优先级高于用户

权限，即既使用户参数为合法，对其“锁定”仍有效。为防非法用户利用本软件攻击管

理员，仅有企业注册版可对友邻用户有效锁定。

手工管理——通过“用户列表”的右键菜单的“手工管理”项，管理员可以临时令某用户

产生IP冲突或断开连接，一般用于测试本软件的管理功能。手工管理拥有最高优先级，

即对任何可管理的用户实施“手工管理”，都会立即生效。防非法用户利用本软件攻击

管理员，除企业注册版外，禁止对友邻用户采用“手工管理”。

默认权限——“默认权限”可由管理员指定，当软件检测到新用户时，为自动为其赋予

默认权限。初次安装软件，默认权限的缺省值是“自由用户，与网络连接不受限制”，

可以在主菜单“设置/默认权限”中调整默认权限。如果已检测到所有用户，并且想禁止

新用户接入，可将默认权限设为“发现该用户与网络连接即进行管理”。

临时权限——为快速解除对所有用户的某项限制，管理员可以主菜单“设置/临时权限”

中设定临时权限。例如，大部分用户已设定“每周六禁止上网”，但本周六加班，可在

临时权限中解除对所有用户“每周六禁止上网”的限制，即可让软件暂时停止此项检查，

让员工正常上网。

管理频率——对用户设置权限时，可指定管理方式及管理频率。管理频率越高则管理

越及时、有效，但占用带